用于檢測(cè)關(guān)注的網(wǎng)絡(luò)活動(dòng)的系統(tǒng)和方法
【專利說明】用于檢測(cè)關(guān)注的網(wǎng)絡(luò)活動(dòng)的系統(tǒng)和方法
[0001]本申請(qǐng)是申請(qǐng)日為2014年11月20日�����、申請(qǐng)?zhí)枮?01280073333.6����、發(fā)明名稱為用于檢測(cè)關(guān)注的網(wǎng)絡(luò)活動(dòng)的系統(tǒng)和方法的發(fā)明的分案申請(qǐng)。
[0002]相關(guān)申請(qǐng)的交叉引用
[0003]本申請(qǐng)請(qǐng)求2012年5月23日提交的美國臨時(shí)申請(qǐng)13/479,222的優(yōu)先權(quán)��,其整體在此通過引用并入本文以用于所有目的。
技術(shù)領(lǐng)域
[0004]本發(fā)明總體涉及數(shù)字安全領(lǐng)域��,更具體地涉及網(wǎng)絡(luò)傳輸中被關(guān)注的活動(dòng)的檢測(cè)�����,包括對(duì)惡意的網(wǎng)絡(luò)活動(dòng)的檢測(cè)�����。
【背景技術(shù)】
[0005]計(jì)算機(jī)技術(shù)的發(fā)展已經(jīng)對(duì)數(shù)字安全領(lǐng)域提出了挑戰(zhàn)��。公知的是��,聯(lián)網(wǎng)的計(jì)算機(jī)(即�����,網(wǎng)絡(luò)節(jié)點(diǎn))可能會(huì)將有惡意的計(jì)算機(jī)數(shù)據(jù)擴(kuò)散至其它網(wǎng)絡(luò)節(jié)點(diǎn)���,從而導(dǎo)致系統(tǒng)毀壞和可能的經(jīng)濟(jì)損失�。本領(lǐng)域技術(shù)人員可以理解的是����,基于惡意計(jì)算機(jī)數(shù)據(jù)的攻擊包括計(jì)算機(jī)病毒、惡意軟件����,蠕蟲、木馬程式�����、蠅蛆病�、入侵(例如,未授權(quán)的訪問)����、開發(fā)(例如,特權(quán)升級(jí)�、違反保密),基于時(shí)間的攻擊(例如�����,拒絕服務(wù))等����。術(shù)語“威脅”被用來描述這些類型的攻擊中的一個(gè)或多個(gè)。
[0006]數(shù)字安全技術(shù)可被用來檢測(cè)和/或從網(wǎng)絡(luò)傳輸去除惡意的計(jì)算機(jī)數(shù)據(jù)。本領(lǐng)域技術(shù)人員可以理解的是��,數(shù)字安全技術(shù)可存在于各種網(wǎng)絡(luò)節(jié)點(diǎn)��,可封裝于硬件和/或軟件中����,而且可包括“防病毒軟件”、“惡意軟件檢測(cè)”�、“入侵防護(hù)”、“防攻擊”�����、防火墻等����,雖然這些術(shù)語并不具有等同含義。術(shù)語“統(tǒng)一威脅管理”(“UTM”)已經(jīng)被用來描述數(shù)字安全技術(shù)的實(shí)施方式中的一個(gè)或多個(gè)���。
[0007]傳統(tǒng)數(shù)字安全技術(shù)通常利用對(duì)應(yīng)于特定威脅的簽名來檢測(cè)威脅��。該模式下的現(xiàn)有設(shè)計(jì)至少在兩個(gè)方式下是不同的�����。首先��,威脅的檢測(cè)依賴于特定威脅的先驗(yàn)知識(shí)以及對(duì)特定威脅的簽名的可獲取性����。例如�,傳統(tǒng)數(shù)字安全技術(shù)可能依賴于已知簽名來檢測(cè)已知計(jì)算機(jī)病毒的存在。因此����,傳統(tǒng)數(shù)字安全技術(shù)可能不能夠檢測(cè)還不能獲取簽名的威脅。例如�,傳統(tǒng)數(shù)字安全技術(shù)可能不能夠檢測(cè)已知計(jì)算機(jī)病毒的未知變形。
[0008]第二�����,由于已知威脅數(shù)量的不斷增長�����,傳統(tǒng)數(shù)字安全技術(shù)保持了不斷增多的簽名�。在獲取到來的網(wǎng)絡(luò)傳輸時(shí),針對(duì)到來的數(shù)據(jù)就可能的威脅對(duì)保持的簽名進(jìn)行掃描���。掃描處理使用大量的計(jì)算資源�����。通過一個(gè)估計(jì)�����,在企業(yè)級(jí)的數(shù)據(jù)中心的環(huán)境下����,多大85%的數(shù)據(jù)中心的計(jì)算能力被花費(fèi)在數(shù)字安全操作上,而其僅僅小部分的真實(shí)能力被用于商業(yè)操作���。在消費(fèi)類計(jì)算機(jī)的環(huán)境中�����,防病毒軟件的操作會(huì)導(dǎo)致計(jì)算機(jī)變得遲緩��,這對(duì)任意計(jì)算機(jī)用戶都不會(huì)驚訝���。
[0009]盡管該領(lǐng)域的改進(jìn)如何,傳統(tǒng)數(shù)字安全技術(shù)持續(xù)受限于由于它們的設(shè)計(jì)導(dǎo)致的這些缺陷�。
【發(fā)明內(nèi)容】
[0010]在一個(gè)示例性實(shí)施例��,從網(wǎng)絡(luò)傳輸獲取多個(gè)傳輸控制協(xié)議(TCP)包和多個(gè)互聯(lián)網(wǎng)協(xié)議(IP)包�����。獲取的網(wǎng)絡(luò)包包括關(guān)注的網(wǎng)絡(luò)活動(dòng)���。多個(gè)組合包被創(chuàng)建�����。多個(gè)組合包的第一組合包包括至少一個(gè)TCP包的一部分以及至少一個(gè)IP包的一部分���。多個(gè)組合包的第二組合包包括至少一個(gè)TCP包的一部分以及至少一個(gè)IP包的一部分���。第一和第二組合包不同。第一和第二組合包的相關(guān)子集被轉(zhuǎn)換成整數(shù)的一個(gè)序列�����。確定整數(shù)的第一和第二序列之間的相似性度量�。根據(jù)相似性度量來創(chuàng)建第三序列,其中第三序列包括對(duì)第一序列和第二序列公共的第三多個(gè)整數(shù)�,該公共整數(shù)的順序與該公共整數(shù)在第一序列中的順序相同����。根據(jù)整數(shù)的第三序列按照相同的順序在多個(gè)組合包中出現(xiàn)的頻率創(chuàng)建整數(shù)的第四序列����。整數(shù)的第四序列被用于識(shí)別網(wǎng)絡(luò)傳輸?shù)奈粗蛹械年P(guān)注的網(wǎng)絡(luò)活動(dòng)。
[0011]在一個(gè)示例性實(shí)施例��,從網(wǎng)絡(luò)傳輸獲取多個(gè)傳輸控制協(xié)議(TCP)包和多個(gè)互聯(lián)網(wǎng)協(xié)議(IP)包�。多個(gè)組合包被創(chuàng)建。組合包包括多個(gè)TCP包中的至少一個(gè)的一部分以及多個(gè)IP包中的至少一個(gè)的一部分�。整數(shù)的序列保被獲取。如果整數(shù)序列的整數(shù)按照相同的順序出現(xiàn)在組合包中��,組合包被認(rèn)為是異常的��,網(wǎng)絡(luò)操作被啟動(dòng)�。網(wǎng)絡(luò)操作可以是用戶警告、掩蓋網(wǎng)絡(luò)節(jié)點(diǎn)的指令��、或從傳輸中丟棄網(wǎng)絡(luò)包的指令����。
[0012]在一個(gè)示例性實(shí)施例,包括關(guān)注區(qū)域的計(jì)算機(jī)圖像被獲取����。計(jì)算機(jī)圖像可以是醫(yī)學(xué)影像�����。關(guān)注區(qū)域可表示有害組織�����。針對(duì)計(jì)算機(jī)圖像的每個(gè)像素創(chuàng)建逐位數(shù)據(jù)的多個(gè)序列�����。對(duì)于正在處理的給定像素,可根據(jù)將給定像素與計(jì)算機(jī)圖像的邊緣分開的其它像素來創(chuàng)建逐位數(shù)據(jù)的序列�。由于從給定像素至計(jì)算機(jī)圖像的各個(gè)邊緣存在多個(gè)路徑,所以可以針對(duì)計(jì)算機(jī)圖像的每個(gè)像素創(chuàng)建逐位數(shù)據(jù)的多個(gè)序列���。而且����,由于計(jì)算機(jī)圖像中存在多個(gè)像素�,針對(duì)每個(gè)像素創(chuàng)建逐位數(shù)據(jù)的附加序列。所得到的逐位數(shù)據(jù)的序列每個(gè)都被轉(zhuǎn)換成整數(shù)序列��,從而產(chǎn)生多個(gè)整數(shù)序列。整數(shù)序列的第一和第二序列之間的相似性度量被確定����。基于相似性度量創(chuàng)建整數(shù)的第三序列����,其中第三序列包括對(duì)于第一和第二序列公共的多個(gè)整數(shù),在第三序列的順序中公共整數(shù)出現(xiàn)在第一序列中����。整數(shù)的第四序列,被稱為元表達(dá)式���,是基于整數(shù)的第三序列在初始地從計(jì)算機(jī)圖像創(chuàng)建的整數(shù)的多個(gè)序列中按照順序出現(xiàn)的頻率創(chuàng)建的�。元表達(dá)式被用于識(shí)別未知計(jì)算機(jī)圖像中的關(guān)注區(qū)域��。
【附圖說明】
[0013]圖1描繪了用于檢測(cè)關(guān)注的網(wǎng)絡(luò)活動(dòng)的示例性處理���。
[0014]圖2描繪了采用了網(wǎng)絡(luò)活動(dòng)檢測(cè)器的示例性實(shí)施例的網(wǎng)絡(luò)的框圖���。
[0015]圖3描繪了用于訓(xùn)練統(tǒng)一威脅管理系統(tǒng)(UTMS)的示例性處理。
[0016]圖4描繪了網(wǎng)絡(luò)節(jié)點(diǎn)之間的網(wǎng)絡(luò)包的示例性傳輸。
[0017]圖5描繪了 IP包頭的布局����。
[0018]圖6描繪了 TCP包頭的布局。
[0019]圖7描繪了 IP網(wǎng)絡(luò)包頭的示例值�。
[0020]圖8描繪了距離函數(shù)的實(shí)施例中的示例性處理。
[0021]圖9(A)-(F)描繪了示例性網(wǎng)絡(luò)包���。
[0022]圖10 (A) - (C)描繪了 8位整數(shù)的示例性序列�。
[0023]圖11描繪了 8位整數(shù)的示例性序列���。
[0024]圖12描繪了網(wǎng)絡(luò)包的示例組����。
[0025]圖13描繪了用于檢測(cè)關(guān)注的網(wǎng)絡(luò)活動(dòng)的示例性計(jì)算系統(tǒng)�。
[0026]圖14描繪了用于檢測(cè)其它關(guān)注的電子信息的示例性處理。
[0027]圖15描繪了用于訓(xùn)練計(jì)算機(jī)成像系統(tǒng)的示例性處理�����。
[0028]圖16 (A)-⑶描繪了示例性放射圖像��。
【具體實(shí)施方式】
[0029]下面的描述被用于使得本領(lǐng)域技術(shù)人員能夠?qū)崿F(xiàn)并使用各種實(shí)施例��。具體裝置����、技術(shù)和應(yīng)用的描述被僅僅提供用作示例。對(duì)此處描述的示例的各種修改對(duì)于本領(lǐng)域技術(shù)人員是明顯的�����,而且此處定義的總體原則可應(yīng)用至其它示例和應(yīng)用而不脫離各種實(shí)施例的精神和范圍�。因此,各種實(shí)施例并非受限于此處描述并顯示的示例����,而是遵循與權(quán)利要求權(quán)利要求一致的范圍。
[0030]此處描述的實(shí)施例包括用于檢測(cè)關(guān)注的網(wǎng)絡(luò)活動(dòng)的技術(shù)�����。示例性關(guān)注的網(wǎng)絡(luò)活動(dòng)包括基于威脅的計(jì)算機(jī)病毒���、惡意軟件�����,蠕蟲��、木馬程式�、蠅蛆病、侵入(例如�,未授權(quán)的訪問)、開發(fā)(例如���,特權(quán)升級(jí)����、違反保密)���,基于時(shí)間的攻擊(例如����,拒絕服務(wù))等���。示例性關(guān)注的網(wǎng)絡(luò)活動(dòng)還可包括經(jīng)由網(wǎng)絡(luò)對(duì)受版權(quán)保護(hù)的和/或淫穢的材料的非法下載��。
[0031]1.概覽
[0032]圖1圖示出用于檢測(cè)關(guān)注的網(wǎng)絡(luò)活動(dòng)的示例性處理100�。就本公開文本而已���,術(shù)語“統(tǒng)一威脅管理系統(tǒng)”(UTMS)被用于描述執(zhí)行處理100的計(jì)算機(jī)安全技術(shù),而不考慮該技術(shù)被提供為軟件形式(例如,作為軟件包)還是硬件形式(例如��,專用集成電路或裝置)���。在處理100中���,塊110可被稱為訓(xùn)練處理,塊120-140可被統(tǒng)稱為運(yùn)行處理�。
[0033]在塊110,UTMS被訓(xùn)練成識(shí)別出與關(guān)注的網(wǎng)絡(luò)活動(dòng)相關(guān)的網(wǎng)絡(luò)傳輸?shù)奶卣?。例如,UTMS可配置有反映特定的已知威脅的一系列網(wǎng)絡(luò)傳輸���。這種一系列的訓(xùn)練網(wǎng)絡(luò)傳輸可獲取自例如網(wǎng)絡(luò)包捕獲應(yīng)用編程接口( “API”)����,比如“pcap”�。訓(xùn)練網(wǎng)絡(luò)傳輸還可獲取自網(wǎng)絡(luò)傳輸?shù)幕ヂ?lián)網(wǎng)資源庫,例如獲取自開放包組織�。雖然API和/或資源庫的名稱可能隨時(shí)間變化,但是捕獲網(wǎng)絡(luò)傳輸?shù)母拍钍潜绢I(lǐng)域技術(shù)人員能夠抓住的����。
[0034]在塊110���,UTMS根據(jù)計(jì)算機(jī)數(shù)據(jù)的訓(xùn)練網(wǎng)絡(luò)傳輸組合序列(其后續(xù)可用來識(shí)別相同關(guān)注的網(wǎng)絡(luò)活動(dòng)是否存在于網(wǎng)絡(luò)傳輸?shù)牧硪晃粗蛹?進(jìn)行識(shí)別。而且��,借助于塊110的處理�,UTMS還變得能夠識(shí)別與之前存在于訓(xùn)練網(wǎng)絡(luò)傳輸中的威脅相關(guān)的威脅(即,變體)的存在�。
[0035]在塊120,UTMS監(jiān)控一組網(wǎng)絡(luò)傳輸以確定(經(jīng)過訓(xùn)練并且相關(guān)的)關(guān)注的網(wǎng)絡(luò)活動(dòng)是否存在于網(wǎng)絡(luò)傳輸中��。例如�,UTMS可確定網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)是否正企圖利用之前在訓(xùn)練網(wǎng)絡(luò)傳輸中提供的威脅的變體(塊110)攻擊另一網(wǎng)絡(luò)節(jié)點(diǎn)。
[0036]在決定塊130����,UTMS確定監(jiān)控的一組網(wǎng)絡(luò)傳輸是正常的還是異常的。異常網(wǎng)絡(luò)傳輸是這樣的網(wǎng)絡(luò)傳輸���,其中UTMS已經(jīng)識(shí)別出關(guān)注的網(wǎng)絡(luò)活動(dòng)�。如果找到異常的網(wǎng)絡(luò)傳輸�����,處理進(jìn)入塊140��,其中UTMS產(chǎn)生一個(gè)或多個(gè)適當(dāng)響應(yīng)��。適當(dāng)響應(yīng)可以是用戶或系統(tǒng)警告�。另一適當(dāng)響應(yīng)可以是擦除來自受損的網(wǎng)絡(luò)節(jié)點(diǎn)的響應(yīng),由此使得入侵網(wǎng)絡(luò)節(jié)點(diǎn)保持沒覺察到該“成功”攻擊�。而另一適當(dāng)響應(yīng)可以是掩蓋攻擊所對(duì)準(zhǔn)的網(wǎng)絡(luò)節(jié)點(diǎn),由此使得攻擊網(wǎng)絡(luò)節(jié)點(diǎn)不再到達(dá)目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)���。如果沒有找到網(wǎng)絡(luò)傳輸���,處理回到塊120,而且UTMS監(jiān)控另一組網(wǎng)絡(luò)傳輸�����。
[0037]圖2是網(wǎng)絡(luò)框圖���,其圖示了處理100(圖1)在網(wǎng)絡(luò)上的示例性布置�����。如圖2所示��,桌面及膝上計(jì)算機(jī)213-216經(jīng)由線纜調(diào)制解調(diào)器210����、防火墻211、和路由器212連接至云網(wǎng)絡(luò)201��。手機(jī)222和膝上計(jì)算機(jī)223經(jīng)由蜂窩服務(wù)提供商220無線連接至網(wǎng)絡(luò)201�����。數(shù)據(jù)中心231經(jīng)由調(diào)制解調(diào)器230連接至云網(wǎng)絡(luò)201�����。處理100的一部分可布置在網(wǎng)絡(luò)裝置(例如�����,防火墻211����、和路由器212)、端點(diǎn)(例如�����,計(jì)算機(jī)21